해커들이 자격 증명 스터핑 공격으로 576,000개의 Roku 계정 침해

지난달, Roku는 해커들이 “자격 증명 스터핑”으로 알려진 방법을 통해 15,363개의 계정에 접근할 수 있는 데이터 유출을 공개했으며, 이 과정에서 신용 카드, 비밀번호 및 사용자 이름 정보가 도난당했습니다.

회사는 금요일에 새로운 자격 증명 스터핑 공격에서 약 576,000개의 추가 계정에 영향을 미치는 두 번째 보안 사고를 발견했다고 발표했습니다.

자격 증명 스터핑을 모르는 분들을 위해 설명하자면, 이는 사기꾼들이 한 플랫폼에서 도난당한 사용자 이름과 비밀번호를 사용하여 다른 플랫폼의 계정에 로그인하려고 시도하는 자동화된 사이버 공격의 일종입니다.

이 방법은 개인들이 여러 서비스에서 동일한 로그인 자격 증명을 재사용하는 관행을 악용합니다.

회사에 따르면, Roku는 이러한 공격에 사용된 계정 자격 증명의 출처가 아니며, Roku의 시스템은 두 보안 사고 모두에서 손상되지 않았습니다.

공격자들은 아마도 다른 온라인 계정과 같은 다른 출처에서 가져온 로그인 자격 증명을 사용했으며, 영향을 받은 사용자들은 여러 플랫폼에서 동일한 사용자 이름과 비밀번호를 사용했을 수 있습니다.

“400건 미만의 경우에 악의적인 행위자들이 로그인하여 이러한 계정에 저장된 결제 방법을 사용하여 스트리밍 서비스 구독 및 Roku 하드웨어 제품을 무단으로 구매했지만, 전체 신용 카드 번호나 기타 전체 결제 정보와 같은 민감한 정보에는 접근하지 못했습니다.”라고 회사는 금요일 블로그 게시물에서 작성했습니다.

“영향을 받은 계정의 전체 수는 Roku의 8천만 개 이상의 활성 계정 중 작은 비율을 차지하지만, 우리는 향후 자격 증명 스터핑 사건을 탐지하고 저지하기 위해 여러 가지 통제 및 대응 조치를 시행하고 있습니다.”

두 번째 자격 증명 스터핑 공격을 발견한 후, Roku는 모든 영향을 받은 계정의 비밀번호를 재설정하고 있으며, 사건에 대해 영향을 받은 고객에게 직접 통지하고 있습니다.

회사는 또한 무단 행위자가 이러한 계정에 저장된 결제 방법을 사용하여 스트리밍 서비스 구독 또는 Roku 하드웨어 제품을 구매한 것으로 확인된 소수의 계정에 대해 환불 또는 요금 취소를 진행하고 있습니다.

그러나 회사는 고객에게 이러한 악의적인 행위자들이 민감한 사용자 정보나 전체 신용 카드 정보에 접근할 수 없었다고 안심시킵니다.

또한, Roku는 최근 사건의 영향을 받지 않은 계정에서도 기본적으로 모든 Roku 계정에 대해 이중 인증(2FA)을 활성화했습니다.

고객 계정을 보호하기 위해, 회사는 사용자에게 Roku 계정에 대해 강력하고 고유한 비밀번호를 생성할 것을 권장했습니다. 또한 고객에게 의심스러운 통신이 Roku에서 오는 것처럼 보일 경우, 결제 세부 정보를 업데이트하라는 요청, 사용자 이름이나 비밀번호를 공유하라는 요청, 의심스러운 링크를 클릭하라는 요청 등을 받을 경우 Roku 고객 지원에 연락할 것을 요청했습니다.

“이러한 사건이 발생한 것과 이로 인해 발생할 수 있는 모든 혼란에 대해 진심으로 유감스럽게 생각합니다. 귀하의 계정 보안은 최우선 사항이며, 우리는 귀하의 Roku 계정을 보호하기 위해 최선을 다하고 있습니다.”라고 회사는 결론지었습니다.